Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 2. díl

Lze jej velice obtížně detekovat, protože pokud je správně proveden, tak e-mail přichází od osoby, kterou dotyčný zná a od níž odpověď očekává.

Ne vždy se však útočníkovi podaří hacknout e-mailový účet odesílatele, a realizovat útok, tak jak byl popsán zde, a musí proto podvrhnout adresu odesílatele, čímž šance na odhalení roste. Ovšem moc se neradujte.

Obzvlášť tragické je to v případě nativních microsoftích klientů, které vám v okamžiku, kdy je v poli „from“ uvedeno jméno, které se shoduje se jménem osoby, která pracuje ve vaší organizaci, dotáhne i jeho fotografii, zobrazí její status a další údaje. Budete v takovém případě kontrolovat hlavičku a dívat se, co je uvedené v poli „envelope-from“? Nejspíš ne.

Mimochodem, všimli jste si, že můžete adresu domény v cyrilici zapsat jako punycode, a že vám ji Outlook zobrazí bez ohledu na to, že v ní jsou použity výhradně znaky, které se vizuálně shodují se znaky, které používá latinka? Takže homografní útok popsaný v minulém článku je zde rovněž možný!

Možná si říkáte, že to, od koho e-mail přišel, poznáte přeci snadno podle toho, co je uvedeno v poli „From“. Jenomže to není tak docela pravda. Potíž je v tom, že v e-mailu jsou pole „from“ hned dvě. Jedno se jmenuje envelope-from“ a v něm je uvedena skutečná adresa odesílatele a do druhého, které se jmenuje jen „from“, si může každý napsat, co chce.

A právě z tohoto pole přebírá e-mailový klient adresu odesílatele, kterou vám následně zobrazí. Dobře, ale vždyť od toho je přeci SPF, který zajistí, že není možné přijmout e-mail z mailserveru, který není oprávněn k rozesílání e-mailů za danou doménu, nebo ne? To je sice pravda, ale SPF v tomto případě vůbec nepřijde ke slovu, protože SPF pouze kontroluje, co je uvedeno v „envelope-from“, nikoliv co je uvedeno v poli „from.

Jistě, kdyby se útočník snažil změnit i hodnotu v „envelope-from“, tak pak by SPF zafungoval, ale proč by to útočník dělal, když stačí změnit pole „from“, které SPF nekontroluje. A koho napadne si zobrazovat u každého e-mailu hlavičku a prohlížet si, zda náhodou není uvedeno něco jiného v „envelope-from“, než ve „from.

Další možnou ochranou by bylo DKIM, jenže tady je problém v tom, že tahle ochrana nedělá v zásadě nic jiného, než že se se vytvoří hash e-mailu nebo jen jeho určité části, který se zašifruje privátním klíčem, ke kterému má právo jen osoba, která se v dané doméně skutečně nachází.

Při kontrole se pak zjistí, že daný e-mail byl chráněn pomocí DKIM, a tak se udělá dotaz na danou doménu, a tím se získá veřejný klíč, tím se dešifruje zpráva a získá se její hash, který se následně porovná s hashem spočteným na straně příjemce zprávy. Pokud sedí, tak e-mail přišel opravdu z dané domény.

Tohle řešení by zcela jistě zabránilo v podvrhnutí e-mailu, protože útočník, který falšuje adresu odesílatele, se zpravidla nenachází v dané doméně a nemá přístup k privátnímu klíči, kterým se podepisuje. Je zde však stejný problém jako v případě SPF, nekontroluje se pole „from“.

Dalším možným řešením je DMARC, který porovnává hodnotu uvedenou v poli „from“ a „envelope-from“ a je zde možné nastavit, jak se má zacházet s e-mailem, který má v obou polích uvedenou rozdílnou adresu.

Je tak možné e-mail nedoručovat vůbec anebo ho uložit do karantény či do složky SPAM a dále pak provozovateli daného mail serveru odesílat souhrnné hlášení o tom, co nebylo doručeno.

A jak tento problém řešíte vy?

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 2. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: